偵測到 Dockerfile

medium Web App Scanning Plugin ID 113123

概要

偵測到 Dockerfile

說明

Docker 是使用作業系統層級的虛擬化,在稱為「容器」的套件中提供軟體的最熱門平台之一。為利用雲端型基礎架構,開發人員通常會在具有一或多個 Docker 容器的微服務架構模式上構建其應用程式,以協助快速構建並部署到各種環境。

Docker 容器是以「Dockerfile」檔案為基礎,該檔案描述構建應用程式的不同步驟,有時包含硬式編碼的密碼或其他敏感資訊。攻擊者可透過存取外洩的「Dockerfile」,來利用此弱點取得一或多個 Web 應用程式元件未經授權的存取權。

解決方案

透過設定適當的權限,來確保「Dockerfile」檔案不會隨應用程式一起部署,或至少不會暴露在 Web 伺服器目錄中。請注意,應用程式密碼不應直接在「Dockerfile」檔案中定義,而應使用 Docker 密碼管理最佳做法。

另請參閱

https://docs.docker.com/engine/reference/builder/

https://www.docker.com/

Plugin 詳細資訊

嚴重性: Medium

ID: 113123

類型: remote

已發布: 2022/1/21

已更新: 2022/1/21

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊